oguzhaneren.com

Çoğunlukla tüm korunma tedbirleri, ağımızın dışından gelecek saldırılara karşı ağımızı korumak üzerine şekilleniyor. Örneğin IPSec sayesinde LAN’lar arasında olan ve internet üzerinden akan trafiğimizi şifreliyoruz, TLS(SSL) sayesinde bir bilgisayar ile güvenli konuşması gereken diğer bilgisayar arasında olan trafiği şifreliyoruz. Şifreleme işlemleri genellikle LAN’lar arası veya Host’lar arası gerçekleşiyor.

Şifrelemenin olmadığı (veya çok yüksek ihtimalle görülmediği) tek bir alan var: Yerel Ağ’larımızın “iç” bölgesi… Yani iç bölge hani firewall’imizin “iç” tarafında ya, bu yüzden çok güvenli, bu yüzden orada herhangi bir kriptolamaya ihtiyaç yok, bu yüzden LAN’da dolaşan tüm trafik gayet rahat bir şekilde kriptosuz gezebilir, öyle mi? Hayır öyle değil. Biliyoruz ki, aslında tehditlerin çok önemli bir kısmı, aslında içerden geliyor. Network’ümüzün iç bölgesini kriptosuz yapmak pek mantıklı değil.

Diğer yandan, iç network’te akan trafiği de güvenli hale getirmek üzerine kullanılan IPSec tabanlı yapılar da çok ciddi eksiklikler sunuyor. Örneğin, tüm network üzerinde akan trafiği kriptolu yapmak için, tüm hostların yerel ağdaki bir cihaza IPSec VPN yaptığını ve tüm trafiklerini önce IPSec VPN trafiğini sonlandıran cihaza, oradan da FW üzerinden dışarıdaki bir hedefe ulaştırdığını düşünelim. Bu durumda yine ne yazık ki tam olarak istediğimiz gibi çalışan bir network elde edemiyoruz. Örneğin switch’lerimiz üzerinde QoS yapamıyoruz. Dahası, hangi network cihazında QoS yapmak istiyorsak ve bu cihazın üstünden akan trafik kriptolu ise QoS yapmamız mümkün olmuyor. Çünkü yerel ağdaki cihazlarımız IPSec trafiğinin içinde neler olduğunu bilemiyor ve farklı tipteki trafikleri birbirinden ayırıp farklı derecelerde önceliklendiremiyor. Üzerinde QoS yapılamayan güvenli bir network ciddi anlamda çok önemli bir boyutu eksik bir nokta demek. Diğer yandan, eğer iç network’u IPSec ile güvenli hale getirmeye kalkarsak, adı üstünde IPSec, ethernet üstünde taşıyıp IP olmayan trafiklerimiz, aktif cihazlar arası VRRP vs protokollerimiz, CDP vs protokollerimiz şifrelenmiyor, sadece IP trafiğimiz şifreleniyor. Bu da IP haricindeki trafikler için güvenlik eksikliği demek.

Yerel ağdaki “kriptosuzluk” durumunu nasıl çözeriz? Bunun için yeni bir protokol doğdu, hayırlı olsun, ismi MACSec, nam-ı diğer 802.1ae.

MACSec aslında oldukça basit çalışan bir protokol.

Bu protokol L2′de çalışıyor ve ethernet üzerinden akıtılabilen ne varsa bunları şifreleyebiliyor. Yani IPSec’den daha geniş bir alana sahip olduğu için, IP olmayan ama ethernet üzerinden giden trafikleri de şifreleyebiliyor.

OSI modeli üzerinden konuşacak olursak, MACSec, L2′ye entegre olarak çalışan, L2′deki bir alt katman olan Logical Link Control (LLC) üzerinden geçerek medyaya gitmek üzere MAC alt katmanına iletilecek paketlere müdahale edip onları şifreleyen bir sistem. Yani OSI modeline göre, L2′nin alt katmanlarından olan MAC gibi çalışan ama MAC’in kriptolu olanı. L2′deki bu katmanın asıl ismi LinkSec.

Yani iletişimi şifreleyen 802.1ae MACSec ve aradaki anahtar değiş tokuşunu yapan 802.1af KeySec standartları sayesinde LinkSec isimlendirmesi ortaya çıkmış durumda. Yani MACSec + KeySec = LinkSec :)

Yerel ağdaki bilgisayarları, bilgisayarlardan başlayıp yerel ağın merkezinde bir yerlerdeki vpn concentrator cihazına kadar IPSec ile şifreleme tekniğinin verimli olmadığı yukarıda belirtilmişti. Yerel ağı şifrelemek için IPSec yerine MACSec kullanıldığı zaman trafik switch’ler ve client’lar arasında, kablonun üstünden akarken şifreli oluyor ancak switch’lerden geçerken kriptosu çözülüyor ve switch’ler tarafından cleartext olarak işleniyor. Bu sayede, hem switch’ler trafiği sanki her şey cleartext çalışıyormuş gibi istedikleri gibi işleyebiliyor (QoS, ACL, L3 forwarding vs) hem de yerel ağda akan ve IP olmayan trafikler de şifrelenerek tam anlamıyla bir yerel ağ güvenliği ortaya çıkarılmış oluyor.

MACSec güvenliği altında bir cihazdan başka bir cihaza akacak olan bir veri, yol üstünde tümüyle şifreli olarak yol alıyor. Eğer trafik yolda bir switch ile karşılaşırsa bu switch’in de MACSec’ten anlaması ve trafiği çözmesi gerekli. Yol üstündeki trafiğin şifresi çözülüyor, üzerinde gerekli işlem yapılıyor ve daha sonra diğer linkten tekrar şifrelenerek kabloya bindiriliyor ve gönderiliyor.

Tabii network ortamında tüm cihazların MACSec desteklememesi gibi bir durum olabilir. Eğer bir link’in bir ucundaki cihaz MACSec destekliyor diğeri desteklemiyorsa o link üzerinden akacak veri şifrelenmiyor. Yani MACSec ile yerel ağı şifrelerken tüm ağın %100 oranında kriptolu olması gibi bir zorunluluk yok, kriptolama desteklemeyen cihazlarla olan haberleşmeler kriptosuz, geri kalanı kriptolu olacak şekilde bir yapının kurulması mümkün.

MACSec frame yapısı da bildiğimiz MAC yapısından çok farklı değil. Normal bir MAC kaynak adres hedef adres içeren header’a ek olarak bir güvenlik etiketi (SecTAG) ardından kriptolu data, ardından ICV (kripto sonrası güvenli veri için hesaplanan Integrity Check Value) ve son olarak CRC.

Sonuç olarak, MACSec yerel ağı içeriden gelecek atak ve dinlemelere karşı koruyor ve bunları yaparken de yerel ağda kullanmak istediğimiz cihazların özelliklerinden herhangi bir ödün vermiyor. Tabii bunun için bu cihazların da MACSec desteklemesi gerekiyor ve yakında MACSec destekleyen cihazlar çok daha fazla sıklıkla piyasada yer almaya başlayacak.

“Noktadan noktaya güvenlik” mantığında çalışan MACSec, tüm cihaz arasında “noktadan noktaya güvenlik” sağlıyor ve bu sayede tüm ağ, daha doğrusu ağ üzerinde ethernet ile taşınabilen her şey hem kriptolu taşınmış hem de tüm aktif cihazlar üzerinde müdahale edilebilmiş oluyor. Bu, yönetimsel kolaylığın maksimize edildiği ve aynı zamanda güvenliğin elden bırakılmadığı, hatta çok üst seviyelere taşındığı bir yapı.

İyi çalışmalar.

Oğuzhan Eren